Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Условия совпадения фильтра межсетевого экрана на основе значений бит-поля

Условия совпадения для значений бит-поля

Табл. 1 перечисляет условия совпадения фильтра брандмауэра, которые основаны на том, за установлены ли в пакете определенные поля бита. Вторая и третья столбцы перечисляют типы трафика, для которого поддерживается условие совпадения.

Табл. 1: Условия совпадения двоичных и бит-полей для фильтров межсетевого экрана

Условие совпадения бит-поля

Значения совпадений

Семейства протоколов для стандартных фильтров межсетевых экранов без с состоянием состояния

Семейства протоколов для фильтров служб

fragment-flags flags

Hexadecimal values or text aliases for the three-bit IP fragmentation flags field in the IP header.

family inet

family inet

fragment-offset value

Hexadecimal values or text aliases for the 13-bit fragment offset field in the IP header.

family inet

family inet

tcp-flags value

Шестадрикадные значения или текстовые псевдонимы для малого порядка 6 битов 8-битного поля флагов TCP в поле TCP-заглухо.

family inetfamily inet6family vplsfamily bridge

family inetfamily inet6

 Система Junos OS автоматически не проверяет первый бит фрагмента при совпадении флагов TCP для трафика IPv4. Чтобы проверить первый бит фрагмента только для трафика IPv4, используйте first-fragment условие совпадения.

Условия совпадения для общих значений бит-полей или комбинаций

Табл. 2описывает условия совпадения фильтра брандмауэра, которые основаны на том, за установлены или не за установлены ли в пакете часто используемые значения или комбинации битовых полей.

Можно использовать текстовые синонимы для указания некоторых общих битовых полей. В предыдущем примере можно указать tcp-initial одно и то же условие совпадения.

Прим.:

Некоторые условия совпадения цифрового диапазона и поля битов позволяют задать текстовый синоним. Полный список синонимов:

  • При использовании интерфейса J-Web выберите синоним из соответствующего списка.

  • Если используется интерфейс командной строки, введите вопросии ? () после from утверждения.

Табл. 2: Условия совпадения бит-поля для общих комбинаций

Условие совпадения

Описание

Семейства протоколов для стандартных фильтров межсетевых экранов без с состоянием состояния

Семейства протоколов для фильтров служб

first-fragment

Текстовый псевдоним условия совпадения бит-поля, который указывает на первый фрагмент fragment-offset 0 фрагментированного пакета.

family inet

family inet

is-fragment

Текстовый псевдоним условия совпадения бит-поля, который указывает на в конце fragment-offset 0 except фрагмента фрагментированного пакета.

family inet

family inet

tcp-established

Псевдоним условия совпадения бит-поля, который указывает на установленный сеанс TCP, но не первый пакет tcp-flags "(ack | rst)" TCP-соединения.

family inetfamily inet6

tcp-initial

Псевдоним условия совпадения бит-поля, который означает первый пакет tcp-flags "(!ack & syn)" TCP-соединения, но не установленный сеанс TCP.

family inetfamily inet6

Логические операторы для значений бит-поля

Табл. 3перечисляет логических операторов, которые можно применить к значениям с одним битом при указании условий совпадения фильтра межсетевого экрана без с состоянием состояния. Операторы перечислены по порядку ( от наивысшего приоритета до нижнего приоритета). Операции имеют лево-ассоциативное значение, т.е. операции обрабатываются слева направо.

Табл. 3: Логические операторы в битовом поле

Порядок приоритета

Логический оператор в битовом поле

Описание

1

(complex-match-condition)

Групповая группировка — состояние сложного совпадения будет оцениваться до того, как будут применены операторы, которые находятся вне скобок.

2

match-condition

Отрицание — совпадение происходит, если условие совпадения ложное.

3

match-condition-1  &  match-condition-2Илиmatch-condition-1  +  match-condition-2

Логический AND — совпадение происходит, если оба условия являются верными.

4

match-condition-1  |  match-condition-2Илиmatch-condition-1  ,  match-condition-2  

Логический ИЛИ — совпадение имеет место, если одно из условий совпадает.

Соответствие по значению в одно-битовом поле или текстовом псевдониме

Для условий совпадения и совпадения битов можно указать условия совпадения фильтра брандмауэра в зависимости от того, установлен какой-либо бит в поле пакета fragment-flagstcp-flags или нет.

  • Цифровое значение для указания одиночного бита — можно указать условие совпадения с одним битом поля, используя цифровое значение, которое имеет один установленный бит. В зависимости от условия совпадения, можно указать десятичное, двоичное или hexadecimal значение. Чтобы указать двоичное значение, укажите число с b префиксом. Чтобы указать hexademal значение, укажите число с 0x префиксом.

    В следующем примере, если бит в поле RST флагов TCP установлен:

  • Псевдоним текста для указания одиночного бита . Условие совпадения в битовом поле обычно указывается путем использования псевдонима текста, заключенного в двойной кавычках ( «).

    В следующем примере, если бит в поле RST флагов TCP установлен:

Соответствие по значениям в бит-поле или текстовым псевдонимам

Можно указать условие совпадения фильтра брандмауэра на основании настройки определенного набора битов в поле пакета.

  • Численное значение для указания нескольких установленных битов. При указании цифрового значения, двоичное представление которого имеет более одного бита набора, значение рассматривается как логическое и для установленных битов.

    В следующем примере два условия совпадения одинаковы. Совпадение происходит, если бит 0x01 или 0x02 не установлен:

  • Текстовые псевдонимы, определяя совпадения в битовых полях. Можно использовать текстовые псевдонимы, чтобы указать совпадения в битовых полях. Эти совпадения указываются как одно ключевое слово.

    В следующем примере условие, которое является псевдонимом, определяет, что совпадение происходит с TCP-пакетами, которые не являются первым пакетом tcp-established“(ack | rst)” соединения:

Соответствие по отрицаемой значению бит-поля

Чтобы отогнать совпадение, предшествуйте значению с восклицательный пунктом.

В следующем примере, если бит в поле RST флагов TCP установлен:

Соответствие по логическим или двум значениям бит-поля

Можно использовать (или) для указания, что происходит совпадение, если в битовом поле соответствует либо двух заданных |, значений битовых полей.

В следующем примере происходит совпадение, если пакет не является начальным пакетом в сеансе TCP:

В сеансе TCP флаг SYN устанавливается только в исходном отправленном пакете, в то время как флаг ACK установлен во всех пакетах, отправленных после начального пакета. В пакете, который не является начальным пакетом в TCP-сеансе, не установлен флаг SYN или установлен флаг ACK.

Совпадение на логическом и двух битовом поле

Можно использовать (или) для указания, что происходит совпадение, если поле бита соответствует обоим указанным значениям &+ битовых полей.

В следующем примере происходит совпадение, если пакет является начальным пакетом в сеансе TCP:

В сеансе TCP флаг SYN устанавливается только в исходном отправленном пакете, в то время как флаг ACK установлен во всех пакетах, отправленных после начального пакета. В пакете, который является начальным пакетом в сеансе TCP, устанавливается флаг SYN и флаг ACK не установлен.

Группировка условий совпадения бит-поля

Можно использовать эти указания для того, чтобы определить, что состояние сложного совпадения внутри скобок будет оцениваться до того, как будут применены операторы, не вы пределами скобок.

В следующем примере происходит совпадение, если пакет сброшен по TCP или если он не является начальным пакетом в TCP-сеансе:

В сеансе TCP флаг SYN устанавливается только в исходном отправленном пакете, в то время как флаг ACK установлен во всех пакетах, отправленных после начального пакета. В пакете, который не является начальным пакетом в TCP-сеансе, флаг SYN не установлен и поле ACK установлено.